[故障求助] 三层交换 vlan配置　在线等ing~~，请各位指点

如图所示:交换机前是各种接入VPN方式,如电信VPN,移动VPN 等，交换机后面是防火墙（在此没有标出）  
要求:交换机前与交换机后能够相互通信(vlan 1--vlan 3, vlan 2--vlan 3,而vlan 1不能与vlan 2通信),在此可能有多种ＶＰＮ接入方式,是同样的要求:交换机前与交换机后能够相互通信,而交换机前的各个网络间不能通信),请教一下，怎么样才能实现上述要求，要求安全是第一位的，此外就是配置简单，易于扩展（如：前端再加一个接入），交换机（思科或华为都可以）　请各位写出各种详细的过程，在此十分感谢！